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Vragen van de leden Verhoeven en Pia Dijkstra (beiden D66) aan de 
Staatssecretaris van Veiligheid en Justitie en de Minister van Volksgezondheid, 
Welzijn en Sport over het bericht dat Achmea premiekorting biedt in ruil voor 
privédata. (ingezonden 2 oktober 2015). 

Antwoord van Minister Van der Steur (Veiligheid en Justitie), mede namens 
de Minister van Volksgezondheid, Welzijn en Sport (ontvangen 5 november 
2015). Zie ook Aanhangsel Handelingen, vergaderjaar 2015-2016, nr. 392. 

Vraag 1 en 2 

Hoe beoordeelt u het voornemen van Achmea om premiekorting te bieden 
aan verzekerden in ruil voor privégegevens? Vindt u het wenselijk dat een 
verzekeraar verzekerden verleidt met premiekortingen in ruil voor privegege- 
vens die verzekerden anders niet met de verzekeraar zouden delen? 1 
Kunt u aangeven hoe ver private verzekeraars in uw ogen mogen gaan met 
het vergaren van privégegevens in ruil voor premieverlaging? 

Antwoord 1 en 2 

Verzekeraars hebben informatie nodig om een inschatting te maken van het 
risico dat zij verzekeren. Het is niet ongebruikelijk dat verzekeraars daarbij 
gebruik maken van persoonlijke gedragsgegevens. Zo wordt bijvoorbeeld al 
jaren gevraagd naar rookgedrag bij diverse verzekeringen. Uit het recente 
rapport «Berekende risico's» 2 van het Rathenau Instituut blijkt dat andere 
verzekeraars zich bezighouden met het meten van klantgedrag. Het is 
voorstelbaar dat verzekeraars dit kunnen gebruiken als instrument om risico's 
te voorkomen of beperken. 

Het ligt niet op mijn weg om een oordeel te geven over de manier waarop 
verzekeraars hun klanten tegemoet treden. Zolang verzekeraars zich aan de 
wet houden, is er geen reden daartegen op te treden. Het relevante wettelijke 
kader bestaat hier - voor wat betreft de verwerking van persoonsgegevens - 
uit de Wet bescherming persoonsgegevens (Wbp). Het is aan het Cbp om te 
beoordelen of de Wbp wordt nageleefd. Voorwaarden uit de Wbp zijn onder 
andere dat persoonsgegevens voor een bepaald vastgesteld doel moeten 


1 NOS, «Achmea biedt premiekorting bij delen privédata», 1 oktober 2015 
http://nos.nl/artikel/2060561-achmea-biedt-premiekorting-bij-delen-privedata.html 

2 Timmer, T., I. Elias, L. Kool & R. van Est, Berekende risico's. Verzekeren in de 
datagedreven samenleving, Den Haag, Rathenau Instituut 2015, http://www.rathenau.nl/ 
publicaties/publicatie/berekende-risicos-verzekeren-in-de-datagedreven-samenleving.html 
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worden verzameld en dat degene van wie de persoonsgegevens zijn, 
daarover moet worden geïnformeerd. Ook mogen persoonsgegevens niet 
langer dan wettelijk toegestaan bewaard worden en is adequate beveiliging 
verplicht. Verder is een wettelijke grondslag voor de gegevensverwerking 
vereist. 

Vraag 3 

Is het voornemen van Achmea voorgelegd aan het College bescherming 
persoonsgegevens (CBP)? Zo ja, wat heeft de privacy waakhond hierover 
geoordeeld? Zo nee, heeft Achmea het voornemen om dit wel te laten 
toetsen aan de Wet bescherming persoonsgegevens? 

Antwoord 3 

Achmea heeft mij laten weten op dit moment alleen de mogelijkheden te 
onderzoeken voor nieuwe vormen van dienstverlening waarbij gebruik wordt 
gemaakt van privégegevens die tot op heden niet worden benut. Naar eigen 
zeggen heeft Achmea in dit stadium nog niets voorgelegd aan het Cbp voor 
toetsing. 

Vraag 4 

Kunt u aangeven in hoeverre verzekerden op de hoogte worden gesteld van 
de risico's die verbonden zitten aan het delen van privégegevens in ruil voor 
premieverlaging? Zo ja, welke zijn dit? Zo nee, waarom niet? 

Antwoord 4 

In het algemeen geldt dat de verantwoordelijke voor gegevensverwerking (in 
dit geval Achmea) verplicht is om de betrokkene te informeren over de 
doeleinden van de verwerking van persoonsgegevens, tenzij de betrokkene 
daarvan reeds op de hoogte is. Dit volgt uit artikel 33 en 34 van de Wet 
bescherming persoonsgegevens. De verantwoordelijke dient bovendien 
nadere informatie te verstrekken voor zover dat nodig is om een behoorlijke 
en zorgvuldige verwerking te waarborgen jegens de betrokkene, gelet op de 
aard van de gegevens, de omstandigheden waaronder de gegevens worden 
verkregen of het gebruik dat ervan wordt gemaakt (artikel 33, derde lid, en 34, 
derde lid). De verantwoordelijken dienen dus aan hun informatieverplichtin¬ 
gen invulling te geven. Daaronder vallen ook de privacyrisico's verbonden 
aan het delen van de privégegevens. 

Vraag 5 

Op welke manier is Achmea voornemens de gegevens van klanten te 
beschermen en verdere verspreiding te voorkomen? 

Antwoord 5 

Achmea stelt zich bewust te zijn van de gevoeligheden rond de bescherming 
van de privacy en niet van plan te zijn relevante wetten of polisvoorwaarden 
te negeren. Zij stelt transparant te willen zijn en de gegevens van haar 
verzekerden niet te delen met derden. 

Vraag 6 

Wat is uw reactie op het feit dat Achmea zegt «geen plannen te hebben om 
gegevens van klanten te delen met derden», maar gelijktijdig samen met 
TomTom in overleg is voor de bouw van de kastjes in de auto's? Deelt u de 
mening dat er op deze manier een private, derde, partij bij betrokken is? Hoe 
beschouwt u de plannen van Achmea tegen de achtergrond dat Google 
voorheen ook zei geen plannen te hebben om gegevens van klanten met 
derden te delen en dat nu inmiddels toch wil gaan doen en dus een risico 
bestaat dat gegevens op een later moment alsnog voor derden beschikbaar 
kunnen komen? 

Antwoord 6 

Het staat Achmea op grond van de Wbp niet vrij om persoonsgegevens op 
een later moment alsnog met derden te delen, indien zij daarvoor geen 
toestemming heeft van de verzekerden of een andere grondslag uit de Wbp 
daarin voorziet, zoals een overeenkomst die dit specifiek regelt. De Artikel 29 
Werkgroep, waaronder alle nationale gegevensbeschermingsautoriteiten 
(zoals het Cbp) in de EU vallen, heeft in 2013 aangegeven dat een doel dat 
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vaag of algemeen is omschreven - zoals het verbeteren van gebruikerserva- 
ring, of marketingdoelen - zonder verdere detaillering niet voldoet aan de eis 
van doelbinding. Dan zou niet zijn voldaan aan de eis van welbepaalde, 
uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor gegevensver¬ 
werking. 3 Die eis is opgenomen in artikel 6, eerste lid, onder b, van de 
privacyrichtlijn 4 en artikel 7 Wbp. 

Achmea heeft aangegeven dat het delen van privégegevens van verzekerden 
met derden niet het oogmerk is en stelt ernaar te streven dat de verzekerde 
het eigendom en beheer van de gegevens in eigen hand houdt. 

Vraag 7 

Deelt u de mening dat door externe risico's (die niet door het individu te 
voorkomen zijn) het meten van de snelheid in de auto niet de enige indicator 
is voor het rijgedrag? Zo ja, kunt u aangeven wat u in dat licht denkt van deze 
methode van Achmea? Zo nee, waarom niet? 

Antwoord 7 

Het is aan Achmea om te beoordelen op welke wijze zij de risico's van 
rijgedrag inventariseert, en welke indicatoren zij daarbij betrekt. Vanzelfspre¬ 
kend dient Achmea hierbij de wet te respecteren, waaronder de regels 
gesteld in de Wbp. 

Vraag 8 

In hoeverre heeft u zicht op de stappen die (bijvoorbeeld) Achmea zet om dit 
soort data ook in te zetten voor zorgverzekeringen? Kunt u aangeven in 
hoeverre u het onwenselijk vindt dat het beeld wordt geschetst dat mensen 
zich door dergelijke kastjes, zeker in de zorg, veiliger wanen voor risico's? 

Antwoord 8 

Bij navraag heeft Zilveren Kruis (zorgtak van Achmea) te kennen gegeven dat 
zij niet van plan is om een dergelijke korting te hanteren voor de basis- of 
aanvullende zorgverzekering. Bij de basisverzekering zou dit ook niet mogelijk 
zijn vanwege het verbod op premiedifferentiatie. Uitzonderingen op het 
verbod op premiedifferentiatie zijn de collectiviteitskorting van maximaal 10% 
van de premiegrondslag en de premiekorting bij vrijwillig eigen risico. 
Gezondheidsgegevens mogen bovendien alleen worden verwerkt als hiervoor 
een grondslag bestaat in artikel 21 of 23 Wbp. Zo kan bijvoorbeeld de 
uitvoering van de overeenkomst met de zorgverzekeraar (artikel 21, eerste lid, 
onder b) of uitdrukkelijke toestemming van de verzekerde (artikel 23, eerste 
lid, onder a) een rechtvaardiging zijn voor de zorgverzekeraar om gezond¬ 
heidsgegevens van zijn verzekerden te verwerken. 

Ik kan niet beoordelen in hoeverre het onwenselijk is dat het beeld wordt 
geschetst dat mensen zich door dergelijke kastjes, zeker in de zorg, veiliger 
wanen voor risico's. 


3 Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation, blz. 15 en 16, 
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/ 
f i les/2013/wp203_en. pdf 

4 Richtlijn 95/46/EG van het Europees parlement en de Raad van 24 oktober 1995 betreffende de 
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens 
en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281). 
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